有谁知道PIX中Conduit和Access-list区别吗?
举个例子,
Inside IP:172.16.1.1
DMZ IP: 192.168.254.1
如果在DMZ的一个Server (192.168.254.100)要访问在Inside里的另一台服务器(172.16.1.2),你肯定要配置里打开特定的端口,如SMTP。那么在 PIX上的用access-list配置是:
static (inside,DMZ) 192.168.254.2 172.16.1.2 netmask 255.255.255.255 0 0
access-list acl_DMZ permit tcp host 192.168.254.100 host 192.168.254.2 eq smtp
access-group acl_DMZ in interface DMZ
但这样配置,这个在DMZ中的服务器就不能访问Ouside了,即使你在access-list中加了
access-list acl_DMZ permit host 192.168.254.100 any
也无济于事。
但是用了conduit就没这个问题,见下面配置。
static (inside,DMZ) 192.168.254.2 172.16.1.2 netmask 255.255.255.255 0 0
conduit permit tcp host 192.168.254.2 eq smtp any
这里列出来是我在实验中试出来的。请各位老大指教。
---------------------------------------------------------------------------------------------------------
有谁知道PIX中Conduit和Access-list区别吗?
很 久不用PIX了,但是你有没有试过把access-list acl_DMZ permit
host 192.168.254.100 any 这条规则放在前面呢,先设这个,再设access-list acl_DMZ permit tcp
host 192.168.254.100 host 192.168.254.2 eq smtp
或者另一种方法,你有没有试着把这条规则(access-list acl_DMZ permit tcp host 192.168.254.100 host 192.168.254.2 eq smtp)绑到Inside端口上去,我记得Cisco有个对ACL绑定的建议好像是说在这种情况下,应该把规则绑到靠近目标地址的端口上,而另一种情况 下(不记得了 ^-^)应该绑到源端口上
其实说到这儿,一个区别就有了,conduit是 不用绑端口的,而ACL是一定要的
文章转载至
或者另一种方法,你有没有试着把这条规则(access-list acl_DMZ permit tcp host 192.168.254.100 host 192.168.254.2 eq smtp)绑到Inside端口上去,我记得Cisco有个对ACL绑定的建议好像是说在这种情况下,应该把规则绑到靠近目标地址的端口上,而另一种情况 下(不记得了 ^-^)应该绑到源端口上
其实说到这儿,一个区别就有了,conduit是 不用绑端口的,而ACL是一定要的
文章转载至